Řešení potíží s pravidly omezení potenciální oblasti útoku

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft 365 Defender

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Při použití pravidel omezení potenciální oblasti útoku můžete narazit na problémy, jako jsou:

• Pravidlo zablokuje soubor, proces nebo provede nějakou jinou akci, kterou by nemělo (falešně pozitivní).
• Pravidlo nefunguje tak, jak je popsáno, nebo neblokuje soubor nebo proces, který by měl (falešně negativní).

Při řešení těchto problémů je potřeba provést čtyři kroky:

1. Potvrzení požadavků
2. Použití režimu auditování k otestování pravidla
3. Přidání vyloučení pro zadané pravidlo (pro falešně pozitivní výsledky)
4. Odeslání protokolů podpory

Potvrzení požadavků

Pravidla omezení potenciální oblasti útoku fungují jenom na zařízeních s následujícími podmínkami:

• Koncové body běží Windows 10 Enterprise nebo novějším.

• Koncové body používají Microsoft Defender Antivirus jako jedinou antivirovou ochranu. Použití jakékoli jiné antivirové aplikace způsobí, že se Microsoft Defender Antivirus sám zakáže.

• Je povolená ochrana v reálném čase .

• Režim auditování není povolený. Pomocí Zásady skupiny nastavte pravidlo na Zakázáno (hodnota: 0), jak je popsáno v tématu Povolení pravidel omezení potenciální oblasti útoku.

Pokud jsou všechny tyto požadavky splněné, pokračujte dalším krokem a otestujte pravidlo v režimu auditování.

Použití režimu auditování k otestování pravidla

Postupujte podle těchto pokynů v tématu Použití ukázkového nástroje a podívejte se, jak fungují pravidla omezení potenciální oblasti útoku a otestujte konkrétní pravidlo, se kterým máte problémy.

1. Povolte režim auditování pro konkrétní pravidlo, které chcete testovat. Pomocí Zásady skupiny nastavte pravidlo na režim auditování (hodnota: 2), jak je popsáno v tématu Povolení pravidel omezení potenciální oblasti útoku. Režim auditování umožňuje, aby pravidlo nahlásilo soubor nebo proces, ale přesto umožní jeho spuštění.

2. Proveďte aktivitu, která způsobuje problém (například otevřete nebo spusťte soubor nebo proces, které by měly být blokované, ale jsou povolené).

3. Projděte si protokoly událostí pravidla omezení potenciální oblasti útoku a zjistěte, jestli by pravidlo zablokovalo soubor nebo proces, pokud by bylo pravidlo nastavené na Povoleno.

Pokud pravidlo neblokuje soubor nebo proces, u kterého očekáváte, že by ho mělo blokovat, nejdřív zkontrolujte, jestli je povolený režim auditování.

Je možné, že byl režim auditování povolen pro testování jiné funkce nebo automatizovaným skriptem PowerShellu a po dokončení testů nebyl zakázán.

Pokud jste pravidlo otestovali pomocí ukázkového nástroje a režimu auditu a pravidla omezení potenciální oblasti útoku fungují v předkonfigurovaných scénářích, ale pravidlo nefunguje podle očekávání, pokračujte na základě vaší situace k některé z následujících částí:

1. Pokud pravidlo omezení potenciální oblasti útoku blokuje něco, co by blokovat nemělo (označuje se také jako falešně pozitivní), můžete nejprve přidat vyloučení pravidla omezení potenciální oblasti útoku.

2. Pokud pravidlo omezení potenciální oblasti útoku neblokuje něco, co by mělo blokovat (označuje se také jako falešně negativní), můžete okamžitě přejít k poslednímu kroku, shromáždit diagnostická data a odeslat nám problém.

Přidání vyloučení pro falešně pozitivní výsledky

Pokud pravidlo omezení potenciální oblasti útoku blokuje něco, co by blokovat nemělo (označuje se také jako falešně pozitivní), můžete přidat vyloučení, která zabrání pravidlům omezení potenciální oblasti útoku v vyhodnocování vyloučených souborů nebo složek.

Pokud chcete přidat vyloučení, přečtěte si téma Přizpůsobení zmenšení prostoru útoku.

Důležité

Můžete zadat jednotlivé soubory a složky, které mají být vyloučeny, ale nemůžete zadat jednotlivá pravidla. To znamená, že všechny soubory nebo složky, které jsou vyloučené, budou vyloučeny ze všech pravidel ASR.

Nahlásit falešně pozitivní nebo falešně negativní

Pomocí webového formuláře microsoft security intelligence můžete nahlásit falešně negativní nebo falešně pozitivní zprávu pro ochranu sítě. S předplatným Windows E5 můžete také poskytnout odkaz na všechna přidružená upozornění.

Shromažďování diagnostických dat pro odesílání souborů

Když nahlásíte problém s pravidly omezení potenciální oblasti útoku, budete požádáni o shromáždění a odeslání diagnostických dat, která můžou týmy podpory a technické týmy Microsoftu použít k řešení problémů.

1. Otevřete příkazový řádek se zvýšenými oprávněními a přejděte do adresáře Windows Defender:

   cd "c:\program files\Windows Defender"
   

2. Spuštěním tohoto příkazu vygenerujte diagnostické protokoly:

   mpcmdrun -getfiles
   

3. Ve výchozím nastavení se ukládají do C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Připojte soubor k formuláři pro odeslání.

Související články

• Pravidla pro omezení potenciální oblasti útoku
• Povolení pravidel omezení potenciální oblasti útoku
• Vyhodnocení pravidel omezení potenciální oblasti útoku

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.